Red Team Operations Attackers Report 2020攻撃者が分析する Red Team Operations

2

3

Red Team Opeartaions (RTO) と日本のトレンド2020 1

業界に関する洞察、契約タイプ、および対応の概要 2

攻撃者のパフォーマンスとクライアントのレジリエンシー 3

業界別および契約タイプ別のクライアントのレジリエンシー 6

Contacts 7

1

Red Team Opeartaions (RTO) と日本のトレンド2020

COVID-19が及ぼすセキュリティ監視やインシデントレスポンスへの影響

脅威ベースのペネトレーションテスト（TLPT）を実施するクライアントの増加

コロナウイルス（COVID-19）の感染拡大により爆発的に増加したリモートワーク環境に対するセキュリティ上の懸念から、日本を含む世界では自社のセキュリティ対策の有効性の確認を求められるケースや、今後懸念が増加すると予想されるエンドポイント対策や端末感染時の監視体制、インシデントレスポンスの有効性にフォーカスを当てた評価を当社のRed Teamと共に確認するニーズが増え始めています。

2018年10月に金融庁が発行した、金融分野におけるサイバーセキュリティ強化に向けた取組方針に脅威ベースのペネトレーションテストの実施が明記されました。これを機にTLPTの実施を求めるクライアントが増加しており、2019年はRTOよりもTLPTの実施数が上回る結果になりました。

Red Team Operations Attackers Report 2020 | Red Team Opeartaions (RTO) と日本のトレンド2020

2

業界に関する洞察、契約タイプ、および対応の概要Red Teamを実施した実績のあるクライアントの業態割合日本国内の実績としては金融業界の割合が最も高くなっています。

攻撃対象の割合従業員の業務端末がマルウェアに感染したケースを想定し、OA環境を主な評価の対象とするのが主流になっています。また、昨今では フィッシングメールを起点としたOA環境の評価等、攻撃対象の範囲に従業員（Human）の要素を含めるケースが増えつつあります。

また脅威情報と絡めて攻撃対象を定めるようなケースも今後増えてくる見込みです。

金融業界の中では銀行向けに実施しているケースが40%以上と多く、続いて保険、証券、カード会社に対し、Red Team Operationsに関連した評価を実施しています。

金融67%

システム14%

航空14%

医療機関5%

銀行43%

証券21%

カード7%

保険29%

社内ネットワーク56%

従業員(Human)

22%

DMZ（非武装地帯）

9%

その他13%

金融67%

システム14%

航空14%

医療機関5%

銀行43%

証券21%

カード7%

保険29%

社内ネットワーク56%

従業員(Human)

22%

DMZ（非武装地帯）

9%

その他13%

Red Team Operations Attackers Report 2020 | 業界に関する洞察、契約タイプ、および対応の概要

3

攻撃者のパフォーマンスと クライアントのレジリエンシー

ローカル、ドメイン管理者を巡る攻防原則として、攻撃目標の達成においてローカル管理者やドメイン管理者等の特権アカウントの取得は避けて通れません。これまで行ってきた評価の傾向として、組織のセキュリティ成熟度と当チームがこれらの権限を取得するために必要な時間には相関関係があり、平均以上に時間を要するケースは攻撃者の活動を制限する対策が有効に機能した結果と言えます。

ローカル、ドメイン管理者権限取得率

年ごとの変化ではドメイン管理者権限の取得に要する時間は、増加しています。それは、クライアントの防御チームがより高度になり、組織は、より回復力がついてきています。ローカル管理者権限を取得する時間も伸びており、変化がみられます。

企業の多くはMicrosoft Windows® をベースとした環境を構築しているため、ローカル管理者やドメイン管理者の取得に要する平均時間というのは最も重要な基準の１つになります。ただし、これは唯一の基準ということではなく、信頼できる１つの基準に過ぎません。年ごとに見られるような差異は画期的なセキュリティ対策や監視策の登場、新しい深刻な脆弱性の発見等にも影響するため右のグラフに見られるような傾向は数年で変化するでしょう。

ローカル、ドメイン 管理者共に

96%※クラウンジュエルの達成に ローカル、ドメイン管理者権限が必要ない場合を除く

Red Team Operations Attackers Report 2020 | 攻撃者のパフォーマンスとクライアントのレジリエンシー

ローカル管理者権限取得に要する平均時間（時間）ドメイン管理者権限取得に要する平均時間（時間）

0

5

10

15

20

25

2017 2018 2019

4

攻撃者のパフォーマンスと クライアントのレジリエンシー

攻撃目標の達成率当チームではRed Team Operationsに関連する評価の94%で１つ以上の攻撃目標を定められた期間内に達成しています。

なお、攻撃目標はクライアントと当チームとの協議によって定められるため、評価ごとに設定される攻撃目標は異なります。

クライアントが選択する攻撃目標例

特定経路（例：OA環境からDMZ環境等）

の識別

機密情報（ダミーファイル）

の窃取

特定環境への アクセス

定められたデータの 外部送出

Active Directory サーバの掌握

Red Team Operations Attackers Report 2020 | 攻撃者のパフォーマンスとクライアントのレジリエンシー

5

攻撃者のパフォーマンスと クライアントのレジリエンシー

評価毎に識別される発見事項の平均数当チームでは、平均して8.5件ほどの発見事項をクライアントに報告しています。

ただし、複数回同様の評価を実施しているクライアントは、以前に識別された課題を改善していることからセキュリティの成熟度が向上しており、識別される発見事項の数が前年度より少なくなる傾向になるようです。

クライアントへ報告する発見事項例

脆弱なパスワード の利用

特権アカウント の管理不備

ネットワークアクセス 制御の不備

不十分な モニタリング

サポートが終了したOSやアプリケーション

の利用

Red Team Operations Attackers Report 2020 | 攻撃者のパフォーマンスとクライアントのレジリエンシー

6

業界別および契約タイプ別の クライアントのレジリエンシー

これまでにRed Team Operationsに関連した評価を実施してきたクライアントの業態別に、ローカル、ドメイン管理者権限の取得に要した時間を比較したところ、重要インフラに分類されるような企業はその他の業態と比べてセキュリティの成熟度が高い傾向にありました。

Red Team Operations Attackers Report 2020 | 業界別および契約タイプ別のクライアントのレジリエンシー

ローカル管理者権限取得に要する平均時間（時間） ドメイン管理者権限取得に要する平均時間（時間）

0 5 10 15 20 25 30 35 40 45

RTO

RTO (Inc Human)

TLPT

RTO (Inc Human)

RTO

TLPT

RTO

RTO Lite

RTO

RTO

航空+

—

保険会社

証券会社

銀行

システム

カード会社

医療機関

7

Contacts

野見山雅史 (Masafumi Nomiyama) masafumi.nomiyama@tohmatsu.co.jp

Ari Daviesari.davies@tohmatsu.co.jp

Carlo Emmanuele Geracicarlo.geraci@tohmatsu.co.jp

Red Team Operations Attackers Report 2020 | Contacts

8

デロイト トーマツ サイバー合同会社Mail　ra_info@tohmatsu.co.jpURL　www.deloitte.com/jp/dtcy【国内ネットワーク】東京・名古屋・福岡

デロイト トーマツ グループは、日本におけるデロイト アジア パシフィック リミテッドおよびデロイトネットワークのメンバーであるデロイト トーマツ合同会社ならびにそのグループ法人（有限責任監査法人トーマツ、デロイト トーマツ コンサルティング合同会社、デロイト トーマツ ファイナンシャルアドバイザリー合同会社、デロイト トーマツ税理士法人、DT弁護士法人およびデロイト トーマツ コーポレート ソリューション合同会社を含む）の総称です。デロイト トーマツ グループは、日本で最大級のビジネスプロフェッショナルグループのひとつであり、各法人がそれぞれの適用法令に従い、監査・保証業務、リスクアドバイザリー、コンサルティング、ファイナンシャルアドバイザリー、税務、法務等を提供しています。また、国内約30都市以上に1万名を超える専門家を擁し、多国籍企業や主要な日本企業をクライアントとしています。詳細はデロイト トーマツ グループWebサイト（www.deloitte.com/jp）をご覧ください。

Deloitte（デロイト）とは、デロイト トウシュ トーマツ リミテッド（“DTTL”）、そのグローバルネットワーク組織を構成するメンバーファームおよびそれらの関係法人（総称して“デロイトネットワーク”）のひとつまたは複数を指します。DTTL（または“Deloitte Global”）ならびに各メンバーファームおよび関係法人はそれぞれ法的に独立した別個の組織体であり、第三者に関して相互に義務を課しまたは拘束させることはありません。DTTLおよびDTTLの各メンバーファームならびに関係法人は、自らの作為および不作為についてのみ責任を負い、互いに他のファームまたは関係法人の作為および不作為について責任を負うものではありません。DTTLはクライアントへのサービス提供を行いません。詳細は www.deloitte.com/jp/about をご覧ください。デロイト アジア パシフィック リミテッドはDTTLのメンバーファームであり、保証有限責任会社です。デロイト アジア パシフィック リミテッドのメンバーおよびそれらの関係法人は、それぞれ法的に独立した別個の組織体であり、アジア パシフィックにおける100を超える都市（オークランド、バンコク、北京、ハノイ、香港、ジャカルタ、クアラルンプール、マニラ、メルボルン、大阪、ソウル、上海、シンガポール、シドニー、台北、東京を含む）にてサービスを提供しています。

Deloitte（デロイト）は、監査・保証業務、コンサルティング、ファイナンシャルアドバイザリー、リスクアドバイザリー、税務およびこれらに関連するプロフェッショナルサービスの分野で世界最大級の規模を有し、150を超える国・地域にわたるメンバーファームや関係法人のグローバルネットワーク（総称して“デロイトネットワーク”）を通じFortune Global 500®の8割の企業に対してサービスを提供しています。“Making an impact that matters”を自らの使命とするデロイトの約312,000名の専門家については、（www.deloitte.com）をご覧ください。

本資料は皆様への情報提供として一般的な情報を掲載するのみであり、デロイト トウシュ トーマツ リミテッド（“DTTL”）、そのグローバルネットワーク組織を構成するメンバーファームおよびそれらの関係法人（総称して“デロイト・ネットワーク”）が本資料をもって専門的な助言やサービスを提供するものではありません。皆様の財務または事業に影響を与えるような意思決定または行動をされる前に、適切な専門家にご相談ください。本資料における情報の正確性や完全性に関して、いかなる表明、保証または確約（明示・黙示を問いません）をするものではありません。またDTTL、そのメンバーファーム、関係法人、社員・職員または代理人のいずれも、本資料に依拠した人に関係して直接また間接に発生したいかなる損失および損害に対して責任を負いません。DTTLならびに各メンバーファームおよびそれらの関係法人はそれぞれ法的に独立した別個の組織体です。

Member ofDeloitte Touche Tohmatsu Limited

© 2020. For information, contact Deloitte Tohmatsu Cyber LLC.